PgAdmin’da jiddiy zaiflik: xakerlar foydalanuvchi hisoblarini egallashi mumkin

PostgreSQL ma’lumotlar bazasi uchun eng mashhur ochiq manbali boshqaruv vositalaridan biri — pgAdmin’da xavfli zaiflik aniqlandi. Bu xato xakerlarga foydalanuvchi hisoblariga ruxsatsiz kirish va ulardagi muhum ma’lumotlarni o‘g‘irlash imkonini beradi.

Zaiflik tafsilotlari

Mazkur zaiflik CVE-2025-9636 sifatida qayd etilgan bo‘lib, pgAdmin 9.7 va undan oldingi barcha versiyalarga ta’sir qiladi. Muammo Cross-Origin Opener Policy (COOP) noto‘g‘ri sozlanganida yuzaga keladi.

COOP odatda brauzer oynalarini izolyatsiya qilish uchun xizmat qiladi. Lekin pgAdmin’da u to‘liq ishlamagan va natijada hujumchilar OAuth autentifikatsiya jarayoniga aralashish imkoniga ega bo‘lishgan.

Hujum qanday amalga oshiriladi?

Xaker maxsus tayyorlangan havolani foydalanuvchiga yuboradi. Foydalanuvchi shu havolani bosganda:

  1. pgAdmin login oynasi yangi brauzer oynasida ochiladi.
  2. Xakerning zararli sahifasi esa birinchi oynada faol bo‘lib qoladi.
  3. Noto‘g‘ri COOP sozlamalari sababli, xaker pgAdmin oynasiga havola saqlab qoladi.
  4. Agar foydalanuvchi OAuth orqali (masalan, “Log in with Google”) kirishga urinsa, xaker autentifikatsiya tokenini qo‘lga kiritadi.

Natijada foydalanuvchining butun sessiyasi xaker qo‘liga o‘tadi.

Oqibatlari

Bu zaiflikning muvaffaqiyatli ekspluatatsiyasi tashkilotlar uchun juda xavfli bo‘lishi mumkin:

  • Hisobga ruxsatsiz kirish — xaker foydalanuvchi huquqlarini to‘liq egallaydi.
  • Ma’lumotlar sizib chiqishi — ma’lumotlar bazasidagi maxfiy ma’lumotlarni ko‘rish, o‘zgartirish yoki o‘g‘irlash mumkin.
  • Hisobni egallash — qonuniy foydalanuvchi tizimdan butunlay chiqarib yuborilishi mumkin.
  • Imtiyozlarni oshirish — agar egallangan hisob administrator huquqlariga ega bo‘lsa, xaker butun server infratuzilmasini boshqarib olish ehtimoli bor.

Himoya choralar

PgAdmin ishlab chiquvchilari muammoni tezkorlik bilan bartaraf etishdi va COOP sarlavha sozlamalarini to‘g‘rilovchi patchni chiqardilar. Tuzatish loyiha GitHub sahifasida e’lon qilingan.

Tavsiya:

  • Barcha foydalanuvchilar pgAdmin’ni so‘nggi versiyaga darhol yangilashlari kerak.
  • Administratorlar barcha pgAdmin instansiyalarini tekshirib, himoya choralarini kuchaytirishlari lozim.
  • Ma’lumotlar bazasi xavfsizligini muntazam monitoring qilish va OAuth jarayonlarini qo‘shimcha tekshiruvlardan o‘tkazish muhim.

pgAdmin’dagi ushbu xato yana bir bor shuni ko‘rsatadiki, xavfsizlikka oid kichik konfiguratsiya xatolari katta oqibatlarga olib kelishi mumkin. Hujumchilar bunday zaifliklardan foydalanib, butun ma’lumotlar bazasini qo‘lga kiritishlari ehtimoldan xoli emas.

Shu sababli har bir tashkilot uchun eng to‘g‘ri yo‘l — yangilanishlarni kechiktirmasdan o‘rnatish, muntazam test va monitoring olib borish hamda OAuth kabi mexanizmlarda qo‘shimcha nazorat choralarini joriy etishdir.